例如4-27纠正对等矛盾示例4-15和示例4-16中,并创建一个不匹配的IPsec转换集上Router_B的
Router_B #CONFŤ输入配置命令,每行一个。结尾CNTL / Z。Router_B(配置)#密码图pki4 10Router_B的(配置 - 加密图)#没有设置peer 200.0.0.3Router_B的(配置 - 加密图)#设置对等200.0.0.1Router_B的(配置 - 加密图)#出口Router_B(配置)#加密的IPsec转换集pki4 ESP-AES ESP-MD5-HMACRouter_B (cfg-crypto-trans) #结束Router_B #
与IPsec对等不一致一样,IPsec转换集不匹配不会阻止ISAKMP SA的建立。实际上,要使用转换的协议发生在阶段2的协商中——IPsec SA的协商。的路由器图4 - 5现在配置为使用不同的转换。最初,Router_A和Router_B将在其转换集中使用基于SHA1哈希的消息身份验证码(HMAC)身份验证。但是,Router_B现在使用不正确的算法(MD-5 vs. SHA-1)来创建hmac。因此,路由器无法就IPsec提议达成一致。与前面一样,我们将通过调试IPsec密码引擎(调试加密IPsec)。下面突出显示的示例4-28中的诊断输出确认了IPsec转换中的不匹配,从而导致快速模式无法协商IPsec SA。
实施例4-28诊断IPsec安全提议不一致识别不匹配的IPsec转换集
Router_A # 2月24 12:01:01.121:IPSEC (key_engine):请求计时器解雇:数= 1,当地= 200.0.0.1(身份),远程= 200.0.0.2 local_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4) 2月24 12:01:01.121:IPSEC (sa_request):,(关键eng。味精)。出站本地= 200.0.0.1远程= 200.0.0.2 local_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4),协议= ESP,变换= esp-aes esp-sha-hmac(隧道),lifedur = 5000年代和4608000 kb, spi = 0 xebd24b7a (3956427642), conn_id = 0, keysize = 128,生成标志= 0 x400b Router_B # 2月24 12:00:31.537:IPSEC (key_engine):有一个队列事件1祺消息2月24 12:00:31.705:IPSEC (validate_proposal_request):建议部分# 1,(关键eng。味精)。入站本地= 200.0.0.2远程= 200.0.0.1 local_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4),协议= ESP,变换= esp-aes esp-sha-hmac(隧道),lifedur = 0和0 kb, spi = 0 x0 (0), conn_id = 0, keysize = 128,生成标志= 0×2月24 12:00:31.705:加密mapdb: proxy_match src addr: 202.2.2.0 dst addr: 202.1.1.0协议:0 src端口:0 dst端口:0 2月24 12:00:31.705:IPSEC (validate_transform_proposal):身份不支持转换方案:{esp-aes esp-sha-hmac} Feb 24 12:00:31 705: %CRYPTO-6-IKMP_MODE_FAILURE: peer在200.0.0.1时快速模式处理失败
加密保护的地址空间问题(加密ACL错误)
正如我们在第2章和本章前面提到的IPsec概述中提到的,要建立IPsec SA, VPN端点之间的加密保护地址空间必须是一致的。这些加密保护的地址空间是用acl定义的,通常称为加密acl。
当密码acl在两个对等点之间指定不一致的地址范围时,预期的结果是ISAKMP SA协商将成功完成,而IPsec SA协商将失败。现在,我们将介绍几个可接受和不可接受的加密ACL定义示例,然后研究使用Cisco IOS IPsec调试功能诊断加密ACL定义问题的一些方法。
注意:在Cisco IOS和ASA IPsec VPN端点中,crypto acl中指定的受保护地址和端口范围通常在crypto调试输出中显示为“代理”。
我们将讨论的第一个案例证明了一个加密ACL定义,将有助于成功的IPsec SA协商。然而,被拒绝在密码保护的地址空间加密访问控制列表存在不一致的未来三年例子,这将导致第2阶段SA建议。示出一个有效的加密ACL匹配与Router_A和Router_B配置实施例4-29中提供。
注意:在使用TEDv3时,下面案例2到4中描述的加密ACL不会排除阶段2 SA协商。尽管ACL不一致,但TEDv3探针将动态发现一致的加密保护范围,并在IPsec SADB中安装适当的信息。TED的使用在第12章“处理动态地址对等点的解决方案”中有更详细的讨论。
示例4-29加密ACL匹配
Router_A #显示访问列表101扩展的IP访问列表101 10,允许IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255而Router_A#Router_B的#显示访问列表101扩展IP访问列表101 10允许IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router_B#
在示例4-30中,Router_B在加密ACL (ACE #20)中有一个额外的访问列表条目(ACE)。然而,ACE 10在路由器A和b之间是一致的,因此,流量匹配ACE 10将促进成功的Phase1和2 SA谈判。在Router_B上匹配ACE 20的流量将启动一个将被Router_A拒绝的第二阶段SA建议,该建议在Router_B的Crypto ACL 101中没有相应的ACE来对应Router_B的ACE 20。随后将删除与ACE 20匹配的流量。示例4-30提供了Router_A和Router_B上的配置,说明了Router_A上丢失的密码ACE。
例如4-30加密ACL不匹配。由于缺少ACE上而Router_A
Router_A #101年上海访问列表扩展的IP访问列表101 10,允许IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255而Router_A#Router_B的#101年上海访问列表扩展IP访问列表101 10允许IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 20允许IP 192.168.2.0 0.0.0.255 202.1.3.0 0.0.0.255
实施例4-31提供了一种配置,其中在两个与Router_A和Router_B所述加密的ACL定义与保护源地址的相反对等方的范围不一致受保护的地址空间的范围。例如,而Router_A保护发往被从192.168.1.0/24采购任何IP地址的流量。如果流量是从192.168.1.1发送到而Router_A的物理IP地址,200.0.0.2会发生什么?因为它在ACL 101 Router_B的匹配ACE然而10会而Router_A加密流量,也不会加密返回的流量,交通从200.0.0.2源未在其加密ACL的任何地方定义。出于这个原因,当这样的矛盾在加密ACL的两位IPsec节点的定义第2阶段SA协商会失败。
例如4-31加密ACL不匹配由于不一致的目标地址范围
Router_A #显示访问列表101扩展的IP访问列表101 10,允许IP 192.168.1.0 0.0.0.255任意而Router_A#Router_B的#显示访问列表101扩展的IP访问列表101 10允许IP 192.168.2.0 0.0.0.255任意Router_B#
在实施例4-32中提供的情况下,该列表定义的地址空间上Router_B的的加密ACL更紧的范围。因此,如果Router_B的启动阶段2交换,那么安全联盟将成功地在SADB建立,流量会通过。但是,如果而Router_A启动第2阶段交流,安全联盟的提议将被Router_B的例4-31中讨论的同样的理由拒绝。
示例4-32由于Router_B上的目标地址范围不一致,加密ACL不匹配
Router_A #101年上海访问列表扩展的IP访问列表101 10,允许IP 192.168.1.0 0.0.0.255任何(24场比赛),而Router_A#Router_B的#101年上海访问列表扩展IP访问列表101 10允许IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router_B#
IPsec vpn的架构和设计问题
除了与配置ISAKMP和IPsec策略相关的问题外,如果没有正确管理IPsec VPN,还有各种网络元素可能会干扰其最佳操作。在本节中,我们将讨论当前IPsec VPN实现所面临的几个最常见的故障排除挑战。我们还将讨论几种有效的技术,用于诊断由于设计不当可能导致的问题,以及纠正这些问题的适当解决方案。
在防火墙环境中的IPsec vpn故障排除
正如我们在第2章中对IPsec协议的概述中所讨论的,为了使用IKE动态创建隧道,并在建立了第2阶段SA之后成功地传递IPsec包,需要在两个VPN端点之间传递许多条目。默认情况下,大多数防火墙采用一种“封闭”的安全模型(默认情况下,什么都不允许),在这种模型中,必须明确指示防火墙允许管理员通过所需的协议。在防火墙环境中部署IPsec时,必须注意允许所需的元素安全地通过,否则VPN操作和性能可能会出现问题。我们将讨论防火墙VPN环境中的两个常见问题——防火墙碎片处理、所需IPsec协议的过滤和Internet控制消息协议(ICMP)不可达协议的过滤。
允许所需的IPsec协议通过
通过防火墙的IPsec VPN会话是很常见的。我们在第2章中讨论的一个这样的例子是DMZ设计。这种设计的另一个流行应用是在安全的外网设计中。当今市场上可用的大多数防火墙默认采用封闭策略,不允许任何流量从低安全性接口通过到指定较高安全性级别的接口。这包括IPsec和IKE有效运行所必需的协议。
除非使用手动的IPsec会话密钥,否则IPsec对等点之间的防火墙必须允许ISAKMP流量(UDP端口500)在IPsec VPN端点之间传递。此外,必须允许IPsec通信通过防火墙,否则加密的通信将在防火墙外部接口上被阻塞。这些协议包括封装安全有效负载(ESP) (IP协议50)和身份验证头(AH) (IP协议51),具体取决于SA中使用的IPsec转换中包括这两个协议中的哪一个。
注意:尽管IPsec转换可以同时包括ESP协议、AH协议或ESP和AH协议,但可能没有必要打开防火墙配置来允许两者同时使用。图4 - 6假设所有远程网络都使用ESP和AH。管理员应该验证在IPsec转换中选择的协议,因为可能没有必要允许这两个ESP和啊,通过防火墙。
图4 - 6示出了防火墙的IPsec VPN隧道部署在其中隧道从中央,防火墙的汇聚站点构建出到更小的远程位置。
通过防火墙的IPsec VPN流量
示例4-33提供了用于在Campus_Net和Remote_Nets A、B和C之间建立IPsec隧道的防火墙ACL配置图4 - 6。
实施例4-33防火墙配置用于加密在交通图4 - 6
DMZ-PIX-MAIN(配置)#显示访问列表101访问列表101;9种元素的访问列表101线1个许可证UDP主机160.1.0.2主机201.1.1.1当量ISAKMP访问列表101线2许可证UDP主机160.1.0.2当量ISAKMP主机201.1.1.1访问列表101线路3允许ESP主机160.1.0.2主机201.1.1.1访问列表101线路3允许啊主机160.1.0.2主机201.1.1.1访问列表101线4许可证UDP主机160.1.0.6主机201.1.1.1当量ISAKMP访问列表101线5许可证UDP主机160.1.0.6当量ISAKMP主机201.1.1.1访问列表101线6许可证ESP主机160.1.0.6主机201.1.1.1访问列表101线路3允许啊主机160.1.0.2主机201.1.1.1访问列表101线7许可证UDP主机160.1.0.10主机201.1.1.1当量ISAKMP访问列表101线8允许UDP主机160.1.0.10当量ISAKMP主机201.1.1.1访问列表101线9许可证ESP主机160.1.0.10主机201.1.1.1访问列表101线路3允许啊主机160.1.0.2主机201.1.1.1 DMZ-PIX-MAIN(配置)#显示访问组访问组101在接口外面
零散的IPsec数据包的防火墙的处理
除了确保允许适当的协议通过防火墙进行通信外,网络设计人员还应该考虑防火墙处理碎片数据包的方式所带来的设计考虑因素,这一点至关重要。当一个IPsec包被分割时,与防火墙过滤决策相关的信息,如在第3层和第4层报头中发现的数据,被模糊在非初始碎片中。
注意:它们可以被重新组装前的分段的IPsec数据包的所有片段必须进行解密。这种行为可以绕过加密硬件切换路径,从而导致IPSec网络性能下降。因此要考虑对IPsec的设计碎片问题的关键。我们将讨论的IPsec MTU和碎片问题,并在IPSec网络片段处理本章后面的可用的解决方案(虚拟碎片重组,IPsec的prefragmentation和路径MTU发现)。
因此,防火墙可能允许片段不经过检查就通过,如图4 - 7。
IPsec网络中的防火墙片段处理
Cisco PIX防火墙在默认情况下被配置为检测何时收到了一个碎片数据包,并对初始碎片和所有非初始碎片做出过滤决定无实际上是重新组装了这个包。这一特性称为虚拟碎片重新组装。虚拟碎片重组为防火墙提供了在碎片上进行过滤决策的能力,而不必对碎片链中的每个包进行解密。虚拟碎片重组确实会消耗防火墙上的计算资源,但在必须对非初始IPsec包碎片进行过滤决策时,它确实提供了一种理想的解决方案。